CN101562618B - 一种检测网马的方法及装置 - Google Patents
一种检测网马的方法及装置 Download PDFInfo
- Publication number
- CN101562618B CN101562618B CN2009101337153A CN200910133715A CN101562618B CN 101562618 B CN101562618 B CN 101562618B CN 2009101337153 A CN2009101337153 A CN 2009101337153A CN 200910133715 A CN200910133715 A CN 200910133715A CN 101562618 B CN101562618 B CN 101562618B
- Authority
- CN
- China
- Prior art keywords
- code
- script information
- net
- name
- horse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种检测网马的方法和装置,技术方案包括:从网页内容中获取html网页脚本信息;执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录;将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。本发明所述装置包括:脚本信息获取模块、行为特征提取模块和网马特征匹配模块。采用本发明所述技术方案能够比较全面的对网页中的网马进行检测,并且克服了现有技术中依赖第三方软件的检测局限性问题。
Description
技术领域
本发明涉及互联网技术领域,更具体地说,涉及一种检测网马的方法及装置。
背景技术
在互连网领域中,网马是指表面上伪装成普通网页文件或者将恶意代码直接插入到正常的网页文件中,当用户访问该网页时,就会利用对方系统或浏览器的漏洞自动将配置好的木马下载到访问者的电脑上来自动执行,给用户的利益带来极大的危害。
目前,现有技术中检测网马的方法主要包括以下两种:
一种是文本特征码匹配技术,该技术通过分析大量网马样本,提取出关键的网马特征或特征组,在对网页内容进行扫描的过程中,通过判断该网页内容是否能与所述提取到的网码特征或特征组相匹配,从而确定该检测网页是否含网马;
一种是采用蜜罐技术,该技术利用存有漏洞的客户端蜜罐系统(如:WinXP、IE6.0或者有漏洞的软件),同时基于可有效控制和恢复运行的初始状态的虚拟机软件构建。并通过利用一些行为监控软件,通过手动或自动的方式访问待检测网站,经过2~3分钟的交互后,根据监控到的动态行为,来判定客户端蜜罐系统是否已被攻击并植入木马。该行为特征主要包括是否下载了可执行文件,是否运行了可执行文件等。
在实现本发明的过程中,发明人发现现有技术存在以下缺点:
(1)采用文本特征码匹配技术不能解决javascript脚本语句的变形问题,如:文本字符串分拆、用十六或十进制来代替字符等,不会被执行的变形的文本字符串很可能被当作网马代码特征检出,所以存在严重的误报情况;针对javascript语句或html(Hyper Text Mark-up Language,超文本标记语言)网页的加密问题也无法解决,如:htmlship、JScript.Encode加密、base64编码、US_ASCII编码等;
(2)采用蜜罐技术在真实环境中执行该网站的文件,虽能准确获得该网站内容的行为,但存在检测版本的局限性。同一台机器上安装的各种软件只对应一个版本,如果该网站利用某个软件的其它版本的漏洞来设置网马,就检测不到;虽然蜜罐技术对于网马检测具有针对性,大大减少了所要分析的数据,但在一定时间段内只能针对一个网页进行检测,并发性程度不高,导致检测效率很低。
发明内容
本发明的目的是提供一种检测网马的方法及装置,解决了现有技术中网马检测的局限性,能够比较全面的对网页中的网马进行检测,并且克服了现有技术中依赖第三方软件的检测网马的局限性问题。
本发明的技术方案如下:
本发明提供了一种检测网马的方法,该方法包括:
从网页内容中获取html网页脚本信息;
执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录;
将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。
进一步地,从网页内容中获取html网页脚本信息,具体过程包括:
通过对网页内容的解析,获得html网页脚本信息,并保存;
所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码的语言类型。
进一步地,执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录,具体过程包括:
将所述html网页脚本信息转换为Javascript类型中的Javascript代码;
对所述Javascript代码执行中引用的全局对象和默认对象进行定义,以获得所述全局对象和默认对象所对应的行为特征;
按照所述定义执行所述Javascript代码,并记录所述全局对象和默认对象在执行过程中所产生的行为特征;所述行为特征包括对象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容。
进一步地,所述方法还包括:
当匹配成功时,将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。
进一步地,所述漏洞特征码的生成过程具体包括:
通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码,保存在数据库中。
本发明还提供了一种检测网马的装置,包括:
脚本信息获取模块,用于从网页内容中获取html网页脚本信息;
行为特征提取模块,用于执行所述脚本信息获取模块获取的html网页脚本信息,并对执行过程中产生的行为特征进行记录;
网马特征匹配模块,用于将所述行为特征提取模块记录的行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。
优选的,所述脚本信息获取模块具体过程包括:
网页内容解析单元,用于对所述网页内容的进行解析,获得html网页脚本信息;
脚本信息存储单元,用于保存所述网页内容解析单元获取的html网页脚本信息;所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码的语言类型。
优选的,所述行为特征提取模块具体包括:
代码转换单元,用于将所述html网页脚本信息转换为Javascript类型中的Javascript代码;
对象定义单元,用于对所述代码转换单元转换后的Javascript代码在执行过程中引用的全局对象和默认对象进行定义,以获得所述全局对象和默认对象所对应的行为特征;
代码执行单元,用于根据所述对象定义单元对所述全局对象和默认对象的定义,执行所述Javascript代码,并记录所述全局对象和默认对象在执行过程中产生的行为特征;所述行为特征包括对象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容。
优选的,所述网马特征匹配模块具体包括:
特征匹配单元,用于将所述行为特征与漏洞特征码进行匹配;
结果处理单元,用于根据所述特征匹配单元的匹配结果,当匹配成功时,确定该网页内容含有网马,并将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。
优选的,网马特征匹配模块具体还包括:
特征码生成单元,用于通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码。
采用本发明所述技术方案,通过获取html scrip标签(网页脚本标签)及带有scrip代码的标签,解决了现有技术中对于Javascript语句的变形问题,可以更全面地对网页内容进行检测;本发明通过将网页脚本信息转换为Javascript类型下的Javascript代码,解决了现有技术对于Javascript类型的加密网页不能进行网马检测的问题;并且本发明所述的技术方案不需要第三方的软件来实现,完全由程序自动检测,更加高效。
附图说明
图1为本发明实施例一种检测网马的方法的简要流程图;
图2为本发明实施例一种检测网马的装置的简要结构图;
图3为本发明实施例1一种检测网马的方法的流程图。
具体实施方式
为了便于理解本发明所述的技术方案,下面结合具体实施例来进行说明。
本发明实施例通过对网页内容的解析,获得html script脚本(网页脚本,是可被浏览器执行的脚本语言,主要类型包括javascript、vbscript,JScript.Encode等),并将vbscript和JScript.Encode类型的脚本转换为javascript类型下的javascript代码,然后模拟浏览器行为编译、执行javascript语句,抓取javascript语句的行为特征。例如:javascript语句利用了哪些控件、控件函数名、控件属性以及赋予的属性值等,能够较好的解决文本特征码匹配技术所遇到的问题;同时,该方案不必安装具有漏洞的第三方软件,完全由程序自动完成检测,一台C2(CPU型号-Intel四核XeonX3210,2.13GHz,内存容量-2G)机器一天可检测30万条url(UniformResource Locator,统一资源定位符),能够较好的解决蜜罐技术所遇到的问题。
结合图1,本发明提供了一种检测网马的方法,该方法可以包括:
步骤101:从网页内容中获取html网页脚本信息;
步骤102:执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录;
步骤103:将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。
其中,步骤101的具体过程可以包括:
通过对网页内容的解析,获得html网页脚本信息,并保存;
所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码的语言类型。
通过上述步骤101的具体过程,能够解决现有技术中javascript语句的变形问题,检测范围比较广泛。
在实际操作中,对网页内容进行解析的过程可以通过生成dom树(Document Object Model,html文档对象模型)来实现。对整个网页内容中的每个字符进行遍历的扫描,可以依据html规范来获取script标签(网页脚本标签),将该标签对应的语言类型(如:javascript、JScript.Encode,vbscript等)及脚本内容,归档到dom树中的script脚本队列中去保存;同时对其它标签进行解析,将包含有script代码的标签名称、script代码、script代码的语言种类,归档到dom树中的script脚本队列中去保存。采用dom树这种方式来对网页内容进行解析,解析范围覆盖面很广泛,获得的信息更加全面。
具体地,步骤102的具体过程可以包括:
步骤1021:将所述html网页脚本信息转换为Javascript类型中的Javascript代码;
步骤1022:对所述Javascript代码执行过程中引用的全局对象和默认对象进行定义,以获得所述全局对象和默认对象所对应的行为特征;
步骤1023:按照所述定义执行所述Javascript代码,并记录所述全局对象和默认对象执行过程中产生的行为特征;所述行为特征包括对象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容。
在上述步骤1021中,script脚本语言的类型主要包括vbscript、JScript.Encode和javascript,本发明所述实施例是基于javascript类型的脚本所提出的方法,通过将vbscript、JScript.Encode类型的脚本内容转换为功能一致的javascript下的javascript代码,并将转换后的所有javascript代码合并成一份javascript代码,才能执行该脚本。
说明:html网页脚本信息中保存的脚本内容可以是url或网页内容,如果是url,需要下载该url的网页内容,下载完毕后再对该网页的脚本语言类型进行判断后,再转换。
在上述步骤1022和步骤1023中,由于本发明实施例采用了具有javascript代码执行功能的执行引擎,可以执行通过步骤1021获得的javascript代码,对于加密网页中的脚本内容已经转换为javascript代码,所以同样可以解码执行。本发明实施例优选firefox的javascript执行引擎spidermonkey。采用这种方法能够解决现有技术中对于加密网页不能检测网马的局限性问题。
本发明实施例中执行所述javascript代码的目的在于获得所述行为特征,所以在编译、执行javascript之前,预先定义了javascript执行过程中需要引用的多个全局对象,如window、document、location等。当解析javascript语句需要调用这些全局对象的函数、属性时,javascript引擎将会执行对这些对象预先定义的函数和属性。例如,当javascript语句调用了document对象的write函数动态生成网页时,自定义的函数将会获取网页内容,做下一步的内容解析。此外,通过定义默认对象,当javascript语句调用了未定义对象以及该对象的函数、属性时,javascript引擎将会执行预先定义的默认对象的属性和函数,此时,在预先定义的函数中可记录行为特征,主要包括所有的对象名、对象函数名、属性名以及函数参数值、属性值等内容,同时将这些行为特征加入到行为列表中去。
虽然本发明与现有技术中的蜜罐技术均是通过从网页上获得脚本信息并运行,获得对应的行为信息来检测网马。但是蜜罐技术更依赖于第三方具有漏洞的软件的版本内容,当网页上存在通过其他版本软件设置的网马时,就检测不到;本发明通过对脚本信息在运行过程中运用到的全局对象进行定义,获得全局对象在执行过程中的行为信息;通过采用预先定义默认对象的方式,对在执行过程中用到的未定义对象进行处理,同样可以获得该对象对应的行为特征,通过将获得的行为特征与漏洞特征库中的特征相匹配的方式来检测网马,更加通用,不受第三方软件的局限。
具体地,步骤103的具体过程可以包括:
当匹配成功时,将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。
具体地说,所述漏洞特征码的生成过程具体可以包括:
通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码,保存在数据库中。
通过上述本发明实施例所述技术方案,在对多个业务提供url挂马检测,包括第三方链接检测、即时通信消息中的url检测中,目前可检测40种控件漏洞挂马,至今未发现一例误报。
结合图2,本发明实施例提供了一种检测网马的装置,该装置包括:
脚本信息获取模块11,用于从网页内容中获取html网页脚本信息;
行为特征提取模块12,用于执行所述脚本信息获取模块11获取的html网页脚本信息,并对执行过程中产生的行为特征进行记录;
网马特征匹配模块13,用于将所述行为特征提取模块记录的行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。
具体的,所述脚本信息获取模块11具体可以包括:
网页内容解析单元111,用于对所述网页内容的进行解析,获得html网页脚本信息;
脚本信息存储单元112,用于保存所述网页内容解析单元获取的html网页脚本信息;所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码的语言类型。
具体的,所述行为特征提取模块12具体可以包括:
代码转换单元121,用于将所述html网页脚本信息转换为Javascript类型中的Javascript代码;
对象定义单元122,用于对所述代码转换单元转换后的Javascript代码执行过程中引用的全局对象和默认对象进行定义,以获得所述全局对象和默认对象所对应的行为特征;
代码执行单元123,用于按照所述对象定义单元对所述全局对象和默认对象的定义,执行所述Javascript代码,并记录所述全局对象和默认对象所对应的行为特征;所述行为特征包括对象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容。
具体地,所述网马特征匹配模块13具体可以包括:
特征匹配单元132,用于将所述行为特征与漏洞特征码进行匹配;
结果处理单元133,用于根据所述特征匹配单元的匹配结果,当匹配成功时,确定该网页内容含有网马,并将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。
优选的,网马特征匹配模块13具体还包括:
特征码生成单元131,用于通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码。
上述图2所示的本发明实施例所述装置与上述图1所述的本发明实施例所述方法实施例中涉及的技术方案相同,具体内容可参照上述实施例,在此不作赘述。
为了更好的对本发明所述技术方案进行理解,下面结合具体实例进行说明。结合图3所示。
步骤501:对所要检测网马的网页内容进行解析,获得html网页脚本信息,并根据所述html网页脚本信息生成dom树;
将解析获得的script标签信息(包括该标签的语言类型和脚本内容)以及包含script代码的其它标签信息(包括标签名称、对应代码和所述代码的语言类型),存入dom树中的script脚本对象队列中;
步骤502:判断当前dom树中的所有script脚本信息,如果所有脚本信息均为Javascript类型下的Javascript代码,则转到步骤507,否则转到步骤503;
步骤503:对当前script脚本内容进行判断,当所述内容为url转到步骤504,否则转到步骤505;
步骤504:根据url下载脚本;
步骤505:如果当前script脚本的语言类型为Javascript,则转到步骤502,否则转到步骤506;
步骤506:将script脚本语言类型为JScript.Encode和vbscript的内容转换为Javascript类型下的Javascript代码;转换完毕后返回步骤502;
步骤507:将所有Javascript脚本合并为一份目标Javascript脚本;
步骤508:编译、对执行目标Javascript脚本中涉及到的全局对象和默认对象进行预先定义,如location、window、document等,以便当执行目标Javascript脚本时,具有执行Javascript脚本功能的执行引擎会调用这些全局对象的自定义函数和属性;
步骤509:编译、执行目标Javascript脚本;
步骤510:在执行Javascript脚本的过程中,记录语句中的所有的对象产生的行为特征,包括:对象名、对象函数名、函数参数值、属性名、属性值等内容,将这些行为特征加入到行为列表中去;
步骤511:将行为列表中的元素与行为特征码库进行匹配,如果有一条或多条的行为特征匹配成功,则输出匹配到的网马的详细信息,否则反馈该网页无网马的信息提示。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (8)
1.一种检测网马的方法,其特征在于,包括:
从网页内容中获取html网页脚本信息;具体包括:
通过对网页内容的解析,获得html网页脚本信息,并保存;
所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码的语言类型;
执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录;所述行为特征包括对象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容;
将所述行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马。
2.根据权利要求1所述的方法,其特征在于,执行所述html网页脚本信息,并对执行过程中产生的行为特征进行记录,具体过程包括:
将所述html网页脚本信息转换为Javascript类型中的Javascript代码;
对所述Javascript代码执行中引用的全局对象和默认对象进行定义,以获得所述全局对象和默认对象所对应的行为特征;
按照所述定义执行所述Javascript代码,并记录所述全局对象和默认对象在执行过程中所产生的行为特征。
3.根据权利要求1所述的方法,其特征在于,该方法还包括:
当匹配成功时,将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。
4.根据权利要求3所述的方法,其特征在于,所述漏洞特征码的生成过程具体包括:
通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码,保存在数据库中。
5.一种检测网马的装置,其特征在于,包括:
脚本信息获取模块,用于从网页内容中获取html网页脚本信息;
行为特征提取模块,用于执行所述脚本信息获取模块获取的html网页脚本信息,并对执行过程中产生的行为特征进行记录;所述行为特征包括对象名、对象函数名、函数参数值、属性名和属性值中的至少一项内容;
网马特征匹配模块,用于将所述行为特征提取模块记录的行为特征与保存的漏洞特征码相匹配,当匹配成功时,确定该网页内容含有网马;
所述脚本信息获取模块具体包括:
网页内容解析单元,用于对所述网页内容的进行解析,获得html网页脚本信息;
脚本信息存储单元,用于保存所述网页内容解析单元获取的html网页脚本信息;所述html网页脚本信息中包含html网页脚本信息标签及对应的语言类型和内容,以及包含带有html网页脚本代码的标签名称及对应代码和所述代码的语言类型。
6.根据权利要求5所述的装置,其特征在于,所述行为特征提取模块具体包括:
代码转换单元,用于将所述html网页脚本信息转换为Javascript类型中的Javascript代码;
对象定义单元,用于对所述代码转换单元转换后的Javascript代码,在执行过程中引用的全局对象和默认对象进行定义,以获得所述全局对象和默认对象所对应的行为特征;
代码执行单元,用于根据所述对象定义单元对全局对象和默认对象的定 义,执行所述Javascript代码,并记录在执行过程中所述全局对象和默认对象所产生的行为特征。
7.根据权利要求5所述的装置,其特征在于,所述网马特征匹配模块具体包括:
特征匹配单元,用于将所述行为特征与漏洞特征码进行匹配;
结果处理单元,用于根据所述特征匹配单元的匹配结果,当匹配成功时,确定该网页内容含有网马,并将与该网马对应的匹配信息输出;否则,反馈该网页无网马的提示信息。
8.根据权利要求7所述的装置,其特征在于,网马特征匹配模块具体还包括:
特征码生成单元,用于通过对大量网马的样本和漏洞的分析,将含有漏洞的控件名称、关键函数名及对应的属性名、关键函数参数及对应的属性值,作为漏洞特征码。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101337153A CN101562618B (zh) | 2009-04-08 | 2009-04-08 | 一种检测网马的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101337153A CN101562618B (zh) | 2009-04-08 | 2009-04-08 | 一种检测网马的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101562618A CN101562618A (zh) | 2009-10-21 |
CN101562618B true CN101562618B (zh) | 2012-03-28 |
Family
ID=41221237
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101337153A Active CN101562618B (zh) | 2009-04-08 | 2009-04-08 | 一种检测网马的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101562618B (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546576B (zh) * | 2010-12-31 | 2015-11-18 | 北京启明星辰信息技术股份有限公司 | 一种网页挂马检测和防护方法、系统及相应代码提取方法 |
CN102955913A (zh) * | 2011-08-25 | 2013-03-06 | 腾讯科技(深圳)有限公司 | 一种网页挂马检测方法及系统 |
CN102594825B (zh) * | 2012-02-22 | 2016-08-17 | 北京百度网讯科技有限公司 | 一种内网木马的检测方法和装置 |
CN102821137B (zh) * | 2012-07-06 | 2016-07-06 | 北京奇虎科技有限公司 | 一种网站安全检测方法及系统 |
CN103810181A (zh) * | 2012-11-07 | 2014-05-21 | 江苏仕德伟网络科技股份有限公司 | 判断网页是否包含黑链的方法 |
CN103810180A (zh) * | 2012-11-07 | 2014-05-21 | 江苏仕德伟网络科技股份有限公司 | 一种网站体检评分标准的方法 |
CN103617390A (zh) * | 2013-11-06 | 2014-03-05 | 北京奇虎科技有限公司 | 一种恶意网页判断方法、装置和系统 |
CN104462985A (zh) * | 2014-11-28 | 2015-03-25 | 北京奇虎科技有限公司 | bat漏洞的检测方法以及装置 |
CN104714806B (zh) * | 2015-03-31 | 2018-09-21 | 上海步科自动化股份有限公司 | 基于人机界面系统的脚本处理方法及装置 |
CN106487771B (zh) * | 2015-09-01 | 2020-07-24 | 阿里巴巴集团控股有限公司 | 网络行为的获取方法及装置 |
CN106570041A (zh) * | 2015-10-12 | 2017-04-19 | 北京国双科技有限公司 | 拼接脚本文件的方法和装置 |
CN108664791B (zh) * | 2017-03-29 | 2023-05-16 | 腾讯科技(深圳)有限公司 | 一种超文本预处理器代码中的网页后门检测方法及装置 |
CN107918735A (zh) * | 2017-11-29 | 2018-04-17 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于孤岛文件的网页木马检测方法 |
CN109800581B (zh) * | 2018-12-29 | 2021-10-22 | 360企业安全技术(珠海)有限公司 | 软件行为的安全防护方法及装置、存储介质、计算机设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
CN101340434A (zh) * | 2008-05-15 | 2009-01-07 | 王瑞 | 网站恶意内容检测与认证方法及系统 |
CN101364988A (zh) * | 2008-09-26 | 2009-02-11 | 深圳市迅雷网络技术有限公司 | 一种确定网页安全性的方法和装置 |
-
2009
- 2009-04-08 CN CN2009101337153A patent/CN101562618B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1924866A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 基于统计特征的网页恶意脚本检测方法 |
CN1925494A (zh) * | 2006-09-28 | 2007-03-07 | 北京理工大学 | 一种基于行为特征的网页木马检测方法 |
CN101340434A (zh) * | 2008-05-15 | 2009-01-07 | 王瑞 | 网站恶意内容检测与认证方法及系统 |
CN101364988A (zh) * | 2008-09-26 | 2009-02-11 | 深圳市迅雷网络技术有限公司 | 一种确定网页安全性的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101562618A (zh) | 2009-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101562618B (zh) | 一种检测网马的方法及装置 | |
US9021593B2 (en) | XSS detection method and device | |
US10567407B2 (en) | Method and system for detecting malicious web addresses | |
US8065667B2 (en) | Injecting content into third party documents for document processing | |
CN104995630A (zh) | 基于动态污点的安全性扫描 | |
CN102143016B (zh) | 网站自动化测试方法和系统 | |
CN103607413B (zh) | 一种网站后门程序检测的方法及装置 | |
CN104881608A (zh) | 一种基于模拟浏览器行为的xss漏洞检测方法 | |
CN106469185A (zh) | 一种网站统计中进行数据收集的方法 | |
CN104881607A (zh) | 一种基于模拟浏览器行为的xss漏洞检测系统 | |
CN101841523A (zh) | 检测恶意代码样本的网络行为的方法及系统 | |
CN104601573A (zh) | 一种Android平台URL访问结果验证方法及装置 | |
CN105303109A (zh) | 一种恶意代码情报检测分析方法及系统 | |
CN104461513B (zh) | 一种生成表单界面的方法及装置 | |
CN104468790A (zh) | cookie数据的处理方法与客户端 | |
CN106022132A (zh) | 一种基于动态内容分析的网页木马实时检测方法 | |
CN106598991A (zh) | 一种使用会话方式实现与网站交互表单自动提取的网络爬虫系统 | |
CN101763432A (zh) | 一种轻量级网页动态视图快速构建方法 | |
CN102870118A (zh) | 用户行为的获取方法、设备及系统 | |
CN103365919B (zh) | 网页解析容器及方法 | |
CN104750463B (zh) | 一种插件开发方法及系统 | |
CN103716394A (zh) | 下载文件的管理方法及装置 | |
CN105975599B (zh) | 一种监测网站的页面埋点的方法和装置 | |
CN104317884A (zh) | 网站来源页面类型的获取方法和装置 | |
CN103390129A (zh) | 检测统一资源定位符安全性的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |